Berlin. (bve / eb) Das Bundeskabinett hat die Eckpunkte des sogenannten KRITIS-Dachgesetzes auf Basis der zurzeit auf europäischer Ebene in Abstimmung befindlichen CER-Richtlinie über die Resilienz kritischer Einrichtungen verabschiedet. Dazu sagt Stefanie Sabet, Geschäftsführerin bei der Bundesvereinigung der Deutschen Ernährungsindustrie (BVE) und Leiterin des Büros Brüssel: «Mit dem KRITIS-Dachgesetz wird die Ernährungsindustrie endlich in einem ganzheitlichen Ansatz als kritische Infrastruktur gesetzlich definiert. Angesichts von Pandemie, Ukrainekrieg und Energieknappheit sind staatliche Risikoanalysen zwingend geboten, um nicht erneut unvorbereitet auf Krisen zu treffen. Der Staat trägt hier höchste Verantwortung zum Schutz seiner Bürger und der kritischen Infrastruktur.
«Die Erfahrungen mit den Regulierungen zur Cybersicherheit sollten genutzt werden. Sie haben gezeigt, dass Unternehmen bestimmte Angriffe nicht allein lösen können und Unterstützung durch die Behörden benötigen. Es macht daher Sinn, den Rahmen auch auf physischen Schutz zu erweitern, Stichwort hybride Bedrohungen.» Für die Branche sei die Harmonisierung beider Ansätze sehr wichtig, um den Aufwand für die Betriebe so gering wie möglich zu erhalten. Sabet: «Dazu braucht es vor allem klare Definitionen von Sicherheitsvorfällen sowie einen risikoorientierten und wirtschaftlichen Ansatz für die Unternehmen.»
Nachtrag: (Anm.d.Red.) In diesem Zusammenhang von Interesse ist ein Bericht des Bundesrechnungshofs von Anfang Dezember, in dem er Fälle aufgreift, die für die Entlastung der Bundesregierung durch das Parlament von Bedeutung sind. In seinen Bemerkungen benennt der Bundesrechnungshof unter anderem eine systemische Schwachstelle, die sich nicht (!) so liest, als seien sich alle Bundesbehörden der Gefahren durch mangelnde Cybersicherheit oder hybride Sicherheitsvorfälle ausreichend bewusst – geschweige denn in der Lage, «klare Definitionen von Sicherheitsvorfällen» zu formulieren. Zitat:
IT-Sicherheit:
Verstoß von Bundesbehörden gegen Geheimschutzvorgaben gefährdet Sicherheit sensibler Daten (Nr. 3)
Viele Bundesbehörden haben ihre internen Behördennetze nicht ausreichend abgesichert. So missachten sie wesentliche Pflichten, die sie erfüllen müssen, wenn sie sensible, geheimhaltungsbedürftige Daten (Verschlusssachen) verarbeiten. Da die Behörden an die «Netze des Bundes» angebunden sind, gefährden sie die Vertraulichkeit von Verschlusssachen und die Sicherheit aller an den «Netzen des Bundes» teilnehmenden Bundesbehörden. Für die Sicherheit der «Netze des Bundes» ist das Bundesamt für Sicherheit in der Informationstechnik (BSI) zuständig. Dort war bekannt, dass die Mehrzahl der Behördennetze nicht für die Verarbeitung von Verschlusssachen freigegeben ist. Das Bundesministerium des Innern sollte dringend auf alle Bundesbehörden einwirken, dass diese ihre Behördennetze endlich absichern und für die Verarbeitung von Verschlusssachen freigeben. Das BSI muss künftig zeitnah reagieren, wenn Bundesbehörden ihren Verpflichtungen im Geheimschutz nicht nachkommen (Zitatende).